Sentinel 7.3には、新機能が追加され、さらに使いやすくなっており、以前にあった問題もいくつか解決されています。
これらの改善の多くは、お客様から直接ご提案いただいたものです。皆様の貴重なお時間とご意見に感謝いたします。弊社の製品が皆様のご期待に添えるよう、引き続きお力添えを賜りたく存じます。フィードバックは当社オンラインコミュニティ「NetIQ Communities」のSentinelフォーラムからお寄せください。こちらのコミュニティには、製品情報、ブログ、役立つリソースへのリンクなども掲載されています。
本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、Sentinel NetIQ Documentationページに掲載されている本マニュアルのHTML版で、各ページの下にある[comment on this topic]をクリックしてください。本製品をダウンロードするには、Sentinel製品のアップグレードWebサイトをご覧ください。
次のセクションでは、本リリースの主な機能と拡張、さらに解決された問題について概説します。
NetIQは、SentinelおよびSentinel Log Managerソリューション用の単一のプラットフォームとしてSentinelを提供します。
Sentinelプラットフォームには2つの主なソリューションがあります。
Sentinel Enterprise: リアルタイムのセキュリティ分析や多くの追加機能を使用できる、全機能が備わったソリューションです。Sentinel Enterpriseは、リアルタイムの脅威の検出、アラート、修正など、SIEMのユースケースに重点を置いています。
Sentinel for Log Management: データの収集、保存、検索、およびレポートなど、ログ管理用のソリューションです。
NetIQは、これらの各ソリューションに対して、個別のライセンスを提供します。新規インストールの場合、Sentinelプラットフォームは、Sentinel EnterpriseまたはSentinel for Log Managementのどちらのライセンスキーを入力したかに応じて、機能を有効にします。この変更が、既存のSentinelサーバまたはアップグレードに影響することはありません。
各ソリューションで有効になる機能の詳細については、『NetIQインストールと設定ガイド』の「ライセンス情報
」を参照してください。
潜在的な脅威に関するアラート通知を即時に受信できるように相関ルールを構成できます。アラートは、注視すべき最も重要な事項を通知します。システムメモリがフルであることやITリソースが応答していないことなど、ITリソースまたはパフォーマンスのしきい値に対する脅威にアラートを関連付けられるようになりました。Sentinelは、関連するイベントとIDを自動的にアラートに関連付けることにより、潜在的な脅威の根本原因を突き止めるのに役立ちます。
詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Alert Notifications
」を参照してください。
Sentinelは、リアルタイムのアラートビューで、アラートを図形および表形式で表示します。アラートの選別操作、アラートの状態の変更、ユーザまたは役割へのアラートの割り当て、知識ベースへの情報の追加などを行うことができます。各アラートをドリルダウンして、トリガイベント、関連するユーザID、アラート履歴など、アラートの詳細を表示できます。アラートビューの詳細については、『NetIQ Sentinel User Guide
』の「Viewing and Triaging Alerts in Alert Views
」を参照してください。
アラートダッシュボードを使用すると、強力な調査とアラートの分析を行うことができます。アラートダッシュボードは、簡単に構成でき、カスタマイズ可能なインタフェースなので、アラートの詳細の確認と調査がしやすくなっています。たとえば、所有者がアラートを閉じるまでの平均時間、最大数のアラートを生成する相関ルール、結合されたアラートの平均数、重大度の高いアラートの地理的な位置などの情報を入手できます。アラートダッシュボードの詳細については、『NetIQ Sentinel User Guide
』の「Analyzing Alert Dashboards
」を参照してください。
Sentinelコントロールセンターにログインせずに、Sentinel Webインタフェースでリアルタイムのイベントを見ることができるようになりました。リアルタイムのイベントビューは、イベントデータの要約が表示されます。イベントの詳細を表示したり、イベント操作を実行したりするには、検索インタフェースを使用できます。Webインタフェースでのリアルタイムのイベントビューの表示の詳細については、『NetIQ Sentinel User Guide』の「Viewing Events in the Web Interface
」を参照してください。
Sentinelサーバにインストールされているプラグインをリスト表示できるようになりました。[プラグイン]>[カタログ]インタフェースに、Sentinelサーバにインストールされているすべてのコレクタ、コネクタ、アクション、インテグレータ、フィードがリスト表示されます。プラグインのバージョン、リリース日、他のメタデータも見ることができ、プラグインが最新バージョンかどうかを確認するのに便利です。プラグインのリストを表示するには、管理者の役割が必要です。
Sentinelは、アプライアンスをOpen Virtual Machine (OVF)フォーマットで提供するようになり、それぞれの仮想化ソフトウェアに対して異なるアプライアンスフォーマットを使用する必要がなくなりました。VMwareアプライアンスとXenアプライアンスは、Sentinel OVFアプライアンスに置き換わります。OVFアプライアンスを使用して、VMwareとCitrix Xen仮想化プラットフォーム上にSentinelをインストールすることができます。NCCチャネルでアプライアンスをアップデートすることにより、XenやVMwareフォーマットの既存のアプライアンスも引き続きアップデートされます。OVFフォーマットのSentinelアプライアンスのインストールの詳細については、『NetIQ Sentinelインストールと設定ガイド』の「OVFアプライアンスのインストール
」を参照してください。
Sentinel 7.3に、Managed Security Service Providers (MSSP)の複数テナント構成をサポートするいくつかの機能拡張が追加されました。
テナントの管理: 新しいユーザインタフェースにより、テナントからデータを受け取る前に、そのテナントを作成できるようになりました。ユーザインタフェースには、テナントを有効にしたり無効にしたりする機能もあります。
テナント特有の役割とユーザ: 役割を作成する際、デフォルトのテナントまたは特定のテナントに役割を割り当てられるようになりました。デフォルトのテナントを使用すると、すべてのテナントのデータにアクセスできます。テナントのない環境や、すべてのテナントのデータにアクセスする必要があるMSSPユーザに対して、デフォルトのテナントを使用できます。特定のテナントに割り当てられた役割のユーザは、そのテナント名のタグが付けられたデータしか閲覧できません。複数のテナントのデータを見る必要のあるMSSP従業員を、デフォルトのテナントに割り当てることにより、MSSP従業員はすべてのテナントのデータやリアルタイムビューにアクセスできるようになります。
これらの機能拡張および複数テナントの構成の詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Sentinel in Multi-Tenancy Environments
」を参照してください。
Sentinel 7.3では、相関イベントに以下の拡張機能が追加されました。
相関イベントのカスタマイズ:
[相関関係]インタフェースには、相関ルールを作成する際に、相関イベントのフィールド値をカスタマイズするためのオプションが含まれるようになりました。たとえば、相関イベントにトリガイベントとは異なる重大度を持たせる場合、重大度を新しい値に設定できます。詳細については、『NetIQ Sentinel User Guide』の「Customizing Correlated Event
」を参照してください。
トリガイベント数の構成:
相関ルールに関連付けられるトリガイベントの数を定義できるようになりました。この制限を定義すると、Sentinelでは多数のトリガイベントを相関イベントに関連付けられないため、サーバの負担が軽減されます。詳細については、『NetIQ Sentinel Administration Guide』の「Configuring the Number of Trigger Events to Associate with a Correlated Event
」を参照してください。
Sentinel 7.3には、セキュリティインテリジェンスダッシュボードの以下の機能拡張が含まれています。
履歴データを含める: セキュリティインテリジェンスデータをダッシュボードに取り込む際に履歴データを含めることができるようになったため、データを分析する際により多くのコンテキストが提供されます。
より長期にわたるデータ保存期間: セキュリティインテリジェンスデータを最大64週間保存しておくことができるようになりました。
詳細については、『NetIQ Sentinel User Guide』の「Creating a Dashboard
」を参照してください。
Sentinel 7.3では、複数インスタンス(分散)セットアップのユーザインタフェースで使用されている用語が変更されました。この変更は、複数インスタンスセットアップの目的がデータフェデレーションであり、単に検索またはイベントに限定されないことを反映したものです。用語の変更は、以下のとおりです。
「分散検索」は「データフェデレーション」に
「ターゲット」は「データソース」に
「検索ターゲットサーバ」は「データソースサーバ」に
「検索イニシエータサーバ」は「権威のあるリクエスタ」に
詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Data Federation
」を参照してください。
Sentinelの新規インストールのデフォルトの試用ライセンスを使用すると、60日の評価期間の間、無制限EPSで、Sentinel Enterpriseのすべての機能を使用できます。試用ライセンスの有効期限が切れると、システムは無料のライセンスキーで実行されるようになり、使用できる機能のセットは限定され、イベント率は25 EPSに制限されます。無料ライセンスの有効期限はありません。Sentinelライセンスの詳細については、『NetIQインストールと設定ガイド』の「ライセンス情報
」を参照してください。
動的リストプロパティウィンドウのサイズを変更することができ、長い値が見やすくなりました。
Sentinelは、古いレポートを自動的に削除して、ディスク容量の使用量を最適化します。必要に応じて、レポートの保持期間を定義できます。詳細については『NetIQ Sentinel Administration Guide』の「Configuring the Report Retention Period
」を参照してください。
Sentinel 7.3には、新規または更新されたバージョンのSentinelプラグインが組み込まれています。最新バージョンのコレクタおよびコネクタは、新規インストールを実行した場合にのみ使用可能です。最新バージョンのインテグレータおよびアクションは、新規およびアップグレードインストールの両方で使用できます。Sentinel 7.3をアップグレードインストールする場合は、SentinelプラグインWebサイトにアクセスして、指定のドキュメントに示されている最新コレクタおよびコネクタの改訂履歴を確認し、どのプラグインをダウンロードしてインストールするべきか判断してください。
Sentinel 7.3には、いくつかの問題を解決するソフトウェア修正が含まれています。
以前のリリースのソフトウェアの修正および機能拡張のリストについては、特定のリリースノートを参照してください。
問題: 50,000以上のイベントを持つ分散検索結果はファイルにエクスポートできません。(BUG 863985)
修正: 最大200,000のイベントが含まれた検索結果ファイルをエクスポートできるようになりました。
問題: 着信生データを保存する生データのバッファに設定された制限があります。着信データがリミットを超えると、十分なディスク容量があってもSentinelは生データを破棄します。(BUG 893546)
修正: 生データのバッファサイズに制限はありません。Sentinelは、ディスク容量の使用量が90%になるまで、生データをバッファできます。
問題: 複数のルールタブが同時に開いている場合、相関ルールを再展開することができません。(BUG 838771)
修正: 複数のルールタブが同時に開いているときにも、相関ルールを展開できるようになりました。
問題: イベントの検索時に検索クエリを編集すると、Enterまたは[検索]を2回押さないと、検索が開始しません。(BUG 829291)
修正: 検索クエリを編集してからEnterまたは[検索]を一回押すと、イベント検索が開始します。
問題: [Change Guardian]アイコンをクリックしてイベント詳細を表示しようとすると、Change Guardianライセンスを求めるプロンプトが表示されます。(BUG 855914)
修正: Change Guardianライセンスキーを追加せずに、Change Guardianイベント詳細を表示できるようになりました。
問題: Sentinelアプライアンスのアップグレード中に、既存のカスタムのファイアウォールルールが削除されます。(BUG 867662)
修正: Sentinel 7.3は、既存のファイアウォールルールを保持します。
問題: Sentinelが正常に閉じられていない生データファイルを処理しません。この事象はほとんど発生しません。(BUG 870969)
修正: Sentinel 7.3は、正常に閉じられていない生データをファイル処理します。
問題: イベントソース管理のテーブルビューで、属性でフィルタリングすると、イベントソースが縮小表示されます。手動でビューを開く必要があります。(BUG 790041)
修正: Sentinel 7.3では、イベントソース管理ビューで、属性でフィルタリングすると、イベントソースが自動的に開いて表示されます。
問題: Change Guardianイベントの添付ファイルを1回表示すると、その後表示することができません。イベントの添付ファイルを正常に開けるのは、最初の1回だけです。(BUG 902142)
修正: Sentinel 7.3では、Change Guardianイベントの添付ファイルが正常に開けるようになりました。
問題: エージェントの承認など、Sentinel Agent Manager (SAM)で行ったアクティビティがSentinelに確実に同期されません。SAMデータベースとSentinelデータベースを同期するのに使用されるETLスクリプトのエラーによる問題です。(BUG 885456)
修正: Sentinel 7.3では、SAMデータベースとSentinelデータベースが正常に同期されるようになりました。SAMで実行したタスクが、数分内にSentinelと同期されます。
問題: ソース、ターゲット、およびオブザーバホストの緯度、経度、国の地理情報イベントフィールドの設定が正しくありません。(BUG 895872)
修正: 緯度および経度のイベントフィールドに正しい値が取り込まれるようになりました。国のイベントフィールドには、正式な国名の代わりに2文字のISO国コードが取り込まれることにより、より多くのロケールや視覚表示ツールに対応できるようになりました。
問題: clean_db.shスクリプトが、カスタムインストールされた、デフォルト以外の場所にあるアドバイザデータを削除しません。(BUG 820700)
修正: clean_db.shスクリプトが、デフォルトおよびデフォルト以外の場所にあるアドバイザデータを削除するようになりました。
問題: 以前のバージョンのSentinelにはOracle Java 1.7 Update 65が含まれおり、これにはFIPSモードでのRSAクライアント鍵交換に関連した既知の問題があります。詳細については、『Java SE Development Kit 7, Update 51 Release Notes』を参照してください。このため、SentinelをFIPSモードで実行しており、Security ManagerやSentinel Agent Managerなどのクライアントから接続を受信しようとすると接続の問題が起こります。(BUG 872305)
修正: Sentinel 7.3には、Oracle Java 1.7 Update 72が含まれており、RSA鍵交換の問題が修正されています。
問題: 分散検索が失敗した後にイベント検索を実行すると、Sentinelは結果を返しません。イベント検索は動作を停止し、新しい検索を実行できません。(BUG 864372)
修正: Sentinelは、検索が失敗した後に、データを待機している検索ジョブを終了して、新しい検索を実行できるようにします。
ハードウェア要件、サポートされるオペレーティングシステム、ブラウザに関する詳細については、『NetIQ Sentinelインストールと設定ガイド』の「システム要件を満たす
」を参照してください。
Sentinel 7.3のインストールに関する詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
Sentinel 7.0以降からSentinel 7.3にアップグレードすることができます。
NetIQダウンロードWebサイトからSentinelインストーラをダウンロードしてください。Sentinel 7.3へのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド』の「Sentinelのアップグレード
」を参照してください。
アップグレードすると、データプロキシユーザ役割には[ユーザにアラートの管理を許可]の許可がなくなります。その役割がリモートのアラート検索を実行するには、この許可が必要です。データプロキシユーザ役割に手動で[ユーザにアラートの管理を許可]の許可を割り当ててください。詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Roles and Users
」を参照してください。
NetIQ Corporationは、弊社の製品が企業のソフトウェアの必要にかなった質の高いソリューションを提供できるよう努めています。次の問題は、現在調査中です。いずれかの問題についてさらに支援が必要な場合は、テクニカルサポートに連絡してください。
セクション 5.2, ヒントテーブル検索がアップグレードされたSentinelインストール環境でアラートフィールドの完全なリストを返さない
セクション 5.3, SentinelがFIPSモードの場合、JRE 8を使用しているSentinelコントロールセンターとソリューションデザイナを起動できない
セクション 5.6, Sentinel Agent ManagerでRawDataTapFileSize構成が考慮されない
セクション 5.11, Sentinel 7.3にアップグレードした後にDB2データベースのデータ収集およびデータ同期が失敗する
セクション 5.14, ベースラインの再生成中、セキュリティインテリジェンスダッシュボードに無効なベースライン期間が表示される
セクション 5.15, 単一のパーティションに多数のイベントが存在すると検索の実行中にSentinelサーバがシャットダウンする
セクション 5.18, 汎用ホスト名解決サービスコレクタが有効であるとSentinel汎用コレクタパフォーマンスが低下する
セクション 5.19, FIPSモードのSentinelが、セキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできない
セクション 5.20, FIPSが有効化されたSentinelのカスタムインストールのアップグレードで、セキュリティインテリジェンスデータベースおよびアラートダッシュボードが機能しない場合がある
セクション 5.22, Sentinelがリモートアラートのアラートビューでカスタマイズしたアラートプロパティを表示しない
セクション 5.24, アップグレードインストールしたSentinelアプライアンスのセキュリティインテリジェンスデータベースにユーザが存在しない
セクション 5.26, 関連付けられているコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタはイベントの接続モードプロパティを設定しない
セクション 5.27, SentinelはSentinelアプライアンスネットワークインタフェースをデフォルトで設定しない
セクション 5.40, WebYaSTでSentinel 7.2よりも前のバージョンからのアプライアンスのアップデートが失敗する
セクション 5.46, IssueSAMLToken監査イベントがセキュリティインテリジェンスダッシュボードに間違った情報を表示する
セクション 5.47, NetIQ Identity Manager DesignerがクライアントコンピュータにインストールされているとSentinelコントロールセンターが起動しない
セクション 5.48, Sentinel Agent ManagerがNULL値のWindows挿入文字列フィールドをキャプチャしない
問題: SpyEyeの脅威が軽減されたようなので、SpyEyeトラッカーフィードのデータプロバイダによってこのフィードのアップデートは廃止されました。このフィードのプラグインはまだSentinelにバンドルされています。データプロバイダが有効な脅威フィードを提供しなくなったため、フィードプラグインに予期しないデータの動的リストが取り込まれてしまい、関係する相関ルールが正しく機能しません。フィードのユーザインタフェースには、データが正常に処理されたことだけが示され、無効なデータは表示されません。(BUG 916560).
解決策: SpyEyeトラッカープラグインがご使用のサーバで問題を引き起こすことはありませんが、このフィードプラグインとそれに関連するSentinelオブジェクト(動的リストと相関ルール)を削除することによって、システムリソースを節約できます。
Solution Packs ManagerでSpyEye Botnetコンポーネントをアンインストールしてください。これにより、関連付けられている動的リスト、相関ルール、およびフィードプラグインが削除されます。しかし、フィードプラグインがスケジュールされていたり、以前に実行されていたりする場合、フィードプラグインを削除できません。その代わり、フィードをアップデートするスケジュールを[なし]に設定してください。Solution Packs ManagerでSpyEye Botnetコンポーネントを削除するには、SentinelプラグインWebサイトの『Threat Intelligence Solution Pack』マニュアルで詳細を参照してください。
問題: Sentinel 7.3のアップグレードされたインストール環境で、Webコンソールのヒントテーブルのアラート属性を検索すると、検索はアラートフィールドの完全なリストを返しません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(BUG 914755)
解決策: 現時点で解決策はありません。
問題: SentinelサーバをFIPS 140-2モードで実行しており、Java Runtime Environment (JRE)のバージョンが8以降である場合、Java Web Startを使用して、クライアントコンピュータでSentinelコントロールセンターおよびソリューションデザイナを起動できません。(BUG 910452)
解決策: Sentinelコントロールセンターまたはソリューションデザイナを起動させたいクライアントコンピュータで、必ず次のことを実行してください。
Sentinelコントロールセンターまたはソリューションデザイナを起動するには、JRE 7をインストールして使用する。
Javaコントロールパネルで、[詳細]タブの[TLS 1.2を使用する]オプションを選択しない。
問題:
目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy
」で詳細情報を参照してください。(BUG 913014)
解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。
問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(BUG 908666)
解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。
[この基準に一致するイベントのみ]フィールドに条件を指定します。その役割のユーザにイベントが表示されないようにするには、NOT sev:[0 TO 5]と入力します。
[システムイベントの表示]を選択します。
[すべてのイベントデータを表示(生データとNetFlowデータを含む)]を選択します。
問題: Sentinel Agent Managerは、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ構成の値を無視して、ファイルサイズが10 MBに達すると生データファイルへの書き込みを停止します。(BUG 867954)
解決策: ファイルサイズが10 MBに達したら、生データファイルの中身を別のファイルに手動でコピーしてから中身を消去すると、Sentinel Agent Managerが新しいデータを書き込めるようになります。
問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する[イベントフィールド]パネルがスケジュールページにありません。(BUG 900293)
解決策: Sentinelをアップグレードしたら、スケジュールページに[イベントフィールド]パネルが表示されるように、検索を再作成して再スケジュールします。
問題: ルールの相関要約ページの[アクティビティ統計情報]パネルの[起動回数]の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(BUG 912820)
解決策: イベント検索ページの[開始]フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び[検索]をクリックします。
問題: FIPSモードで実行されているSentinelは、Change Guardianイベントを受け取るように構成されているにもかかわらず、Change Guardianイベントを検索して、[Change Guardian]アイコンをクリックしても、Change Guardianデルタの添付情報が表示されません。Change Guardian 4.1.1.1とそれ以前のバージョンでは、FIPS対応モードのイベントの送信をサポートしません。(BUG 912230)
解決策: 現時点で解決策はありません。
問題: アラートビューを更新すると、アラートビューの[出現数]が減少します。(BUG 913838)
解決策: [出現数]が減少したアラートの隣にある[詳細の表示]をクリックすることにより、アラートの要約ページへ移動します。アラートの要約ページには、正しい[出現数]の値が表示されます。
問題: Sentinel 7.3にアップグレードすると、IBM DB2 JDBCドライバが削除されるため、DB2データベースのデータ収集およびデータ同期が失敗します。(BUG 909343)
解決策: Sentinel 7.3にアップグレードした後、正しいJDBCドライバを追加して、データ収集とデータ同期が行われるように構成するには、次の手順を実行します。
/opt/novell/sentinel/libフォルダに、お使いのDB2データベースのバージョンに適するIBM DB2 JDBCドライバ(db2jcc-*.jar)のバージョンをコピーします。
ドライバファイルに必要な所有権およびアクセス権を設定してください。
データ収集用にこのドライバを構成します。詳細については、データベースコネクタのマニュアルを参照してください。
問題: アラートビューで[すべて選択]をクリックしてアラートを選択し、いくつかを選択解除し、そしてアラートを変更すると、更新されたアラートビューで新着アラートも選択されています。変更するために選択したアラート数が間違っているだけでなく、新しい着信アラートも変更されているように見えてしまいます。しかし、初めに選択したアラートのみが変更されています。(BUG 904830)
解決策: カスタムの時間範囲でアラートビューを作成すると、新着アラートがアラートビューに表示されません。
問題: 毎秒あたりのイベント数(EPS)の高いロードがあるSentinelシステムに、過去のセキュリティインテリジェンス(SI)データをロードしようとすると時間がかかります。(BUG 908599)
解決策: 過去データを含むセキュリティインテリジェンスダッシュボードを作成する場合、可能であれば、システムのロードが少ないときにダッシュボードを展開するようにしてください。現時点ではほかの解決策はありません。
問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(BUG 912009)
解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。
問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(BUG 913599)
解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。
[estzhour]フィールドに基づいてイベントをフィルタリングする保持ポリシーを作成して、特定の時間帯を追跡します。つまり、estzhour:[0 TO 11]をフィルタとして使用して1つの保持ポリシーを作成し、estzhour:[12 TO 23]をフィルタとして使用して別の保持ポリシーを作成できます。
詳細については『NetIQ Sentinel Administration Guide』の「Configuring Data Retention Policies
」を参照してください。
問題: 既存のアラートにアラート情報がロールアップされる代わりに、新しいアラートが作成されます。この事象はほとんど発生しません。(BUG 914512)
解決策: 現時点で解決策はありません。
問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(BUG 914874)
解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。
/etc/sysconfig/SuSEfirewall2ファイルを開きます。
次の行を変更します。変更前:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
変更後:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Sentinelを再起動します。
問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートコレクタマネージャがイベントを送信するとEPSが50%減少します。(BUG 906715)
解決策: 現時点で解決策はありません。
問題: FIPSモードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(BUG 915241)
解決策: FIPSモードでインストールと構成をしたら、Sentinelを再起動してください。
問題: 非ルートユーザによってインストールされ、FIPSモードで構成された、SentinelのカスタムインストールからSentinel 7.3にアップグレードすると、セキュリティインテリジェンスデータベースおよびアラートダッシュボードが起動しない場合があります。(BUG 916285)
解決策: 次の手順を実行します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/binにアクセスして、Sentinelインデックスサービスについて確認します。
次のコマンドを実行します。
./si_db.sh status
次の出力が表示されているかを確認します。
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
上記の3つのいずれかのサービスが実行されていない場合、次の手順を実行します。
次のコマンドを実行してSentinelを停止します。
rcsentinel stop
Sentinelサーバにnovellユーザとしてログインします。
次のコマンドを実行します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/bin/si_db.sh startnoauth
次のコマンドを実行して、dbauserユーザとappuserユーザを追加します。
cd <カスタムインストールディレクトリ>/opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
次のコマンドを実行して、MongoDBデータベースを停止します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/bin/si_db.sh stop
次の手順を実行して、暗号化パスワードフィールドを追加します。
次のコマンドを実行して、novellユーザの暗号化パスワードを取得します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/bin/encryptpwd -e novell
暗号化パスワードが表示されます。次に例を示します。
bVWOzu6okMmMCkgM0aHeQ==
configuration.propertiesファイルで、baselining.sidb.passwordプロパティおよびbaselining.sidb.dbpasswordプロパティの暗号化パスワードをアップデートします。たとえば、次のように入力します。
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
novellユーザアカウントを終了し、次のコマンドを使用して、ルートユーザとしてSentinelを起動します。
rcsentinel start
メモ:configure.shスクリプトを実行して、必要に応じてパスワードをリセットします。configure.shスクリプトの実行の詳細については、『NetIQ Sentinelインストールと設定ガイド』の「インストール後の環境設定の変更
」を参照してください。
問題: アラートビューで、リモートアラートの隣にある[詳細の表示]をクリックして、アラートの詳細ページに移動すると、そのアラートのトリガイベントが[関連付けられたデータ]パネルに表示されません。(BUG 916116)
解決策: データソースサーバにログインして、ローカルでアラートの詳細を表示します。
問題: アラートビューで、リモートアラートの[状態]および[優先度]フィールドの値がカスタマイズされている場合、それらのフィールドにはデータが表示されません。アラートのアラート詳細ページにもこれらのフィールドのデータが表示されません。(BUG 915762)
解決策: データソースサーバにログインして、ローカルでアラートを表示してください。
問題: Sentinelを再起動してからログインすると、Sentinelのアラートビューにアラートが表示されない場合があります。(BUG 916133)
解決策: 次の手順を実行して、セキュリティインテリジェンスデータベースを再起動します。
次のコマンドを実行します。
rm /opt/novell/sentinel/3rdparty/mongoconnector/config.txt
/opt/novell/sentinel/bin/elasticsearch.shを次のように編集します。
es_start()関数で、次のスニペットに示されているように、209行目の後にsleep 2と入力します。
exec_command "\"${ESEC_HOME}/3rdparty/elasticsearch/bin/elasticsearch\" -d -Des.config.file=\"${ESEC_CONFIG_HOME}/3rdparty/elasticsearch/elasticsearch.yml\" -Des.path.conf=\"${ESEC_CONFIG_HOME}/3rdparty/elasticsearch\" -Des.path.data=\"${ESEC_DATA_HOME}/3rdparty/elasticsearch/data\" -Des.path.logs=\"${ESEC_LOG_HOME}/log\""
if [ $? -ne 0 ]
then
RETRY=$(( $RETRY + 1 ))
error_message "$(gettext 'Failed to start indexing service.')"
if [ $RETRY -eq 5 ]
then
return $RESULT_FAILURE
fi
sleep 2
continue
fi
sleep 2
fi
ファイルを保存して、エディタを終了します。
novellユーザとして、次のコマンドを実行します。
/opt/novell/sentinel/bin/si_db.sh restart
問題: アップグレードしたSentinelアプライアンスのオンラインインストールで、appuserユーザアカウントとdbauserユーザのアカウントが存在しません。(BUG 915197)
解決策: 次の手順を実行します。
Sentinelサービスを停止します。
rcsentinel stop
次のコマンドを実行します。
/opt/novell/sentinel/bin/si_db.sh startnoauth
次のコマンドを実行して、dbauserユーザとappuserユーザを追加します。
cd opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
次のコマンドを実行します。
/opt/novell/sentinel/bin/si_db.sh stop
次の手順を実行して、暗号化パスワードフィールドを追加します。
次のコマンドを実行して、novellユーザの暗号化パスワードを取得します。
/opt/novell/sentinel/bin/encryptpwd -e novell
暗号化パスワードが表示されます。次に例を示します。
bVWOzu6okMmMCkgM0aHeQ==
configuration.propertiesファイルで、baselining.sidb.passwordプロパティおよびbaselining.sidb.dbpasswordプロパティの暗号化パスワードをアップデートします。たとえば、次のように入力します。
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
novellユーザアカウントを終了し、次のコマンドを使用して、ルートユーザとしてSentinelを起動します。
rcsentinel start
問題: SSL 3.0には、セキュア接続のプレーンテキストが計算される可能性がある脆弱性が存在しています。詳細については、CVE-2014-3566を参照してください。この脆弱性が存在するのは、Syslogコネクタ2011.1r4のバンドルされたバージョンがSSLプロトコルを使用することが原因です。
解決策: Syslogコネクタバージョン2011.1r5以降でこの問題は解決します。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。
問題: イベントを解析するコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタのバージョン2011.1r3はイベントのCONNECTION_MODEプロパティを設定しません。(BUG 880564)
解決策: エージェントマネージャコネクタのバージョン2011.1r5でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。
問題: Sentinel Applianceのインストール時にネットワークインタフェースがデフォルトで構成されません。(BUG 867013)
解決策: ネットワークインタフェースを構成するには、次のようにします。
[ネットワーク環境設定]ページで、[ネットワークインタフェース]をクリックします。
ネットワークインタフェースを選択して、[編集]をクリックします。
[Dynamic Address]を選択して、[DHCP]か[Static assigned IP Address]のどちらかを選択します。
[次]をクリックしてから[OK]をクリックします。
問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(BUG 834874)
解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。
検索結果をエクスポートする際、エクスポートファイル名から特殊文字(ASCII文字以外)を除く。
オペレーティングシステム言語設定でUTF-8を有効にし、マシンを再起動してから、Sentinelサーバを再起動する。
問題: ポート転送またはDestination Network Address Translation (DNAT)を使用してSentinel Webコンソールを起動すると、Sentinel Webコンソールに空白ページが表示されます。(BUG 694732)
解決策: Sentinel Webコンソールを起動する際に、ポート転送やDestination Network Address Translation (DNAT)を使用しないください。
問題: セキュリティインテリジェンスベースラインを作成または再生成すると、Sentinelはベースラインを正常に作成したにもかかわらずエラーメッセージを表示します。(BUG 848067)
解決策: このエラーメッセージは無視してください。ベースラインの作成には数分かかる場合があります。
問題: セカンダリストレージにデータが保持されている日数が、プライマリストレージにデータが保持されている日数より少ない場合、Sentinelはプライマリストレージのディスクスペースを効率的に使用しません。スペースを確保するためにセカンダリストレージから削除されたパーティションは、プライマリストレージからも削除されます。(BUG 860888)
解決策: オンラインにしておく(検索可能にする)合計日数分のデータを保持できるだけの、十分な容量をセカンダリストレージに割り当てます。
詳細については、『NetIQ Sentinel Administration Guide』の「Event Data
」を参照してください。
問題: ディスク容量が2TBを超えるシステムで、Sentinelがインストール後に自動で起動しないことがあります。(BUG 846296)
解決策: ワンタイムアクティビティとして、次のコマンドを指定し、Sentinelサービスを手動で開始してください。
rcsentinel start
問題: Sentinelアプライアンスのインストールで、KerberosモジュールにKerberos認証を設定すると、Kerberosクライアントの環境設定が成功したという確認メッセージがコンソールに表示されます。しかし、Kerberosモジュールを再度表示すると、[Enable Kerberos Authentication]の選択が解除されています。(BUG 843623)
解決策: 現時点で解決策はありません。
問題: リモートコレクタマネージャのインストール時に、「$」、「"」、「\」、または「/」などの特殊文字が含まれているパスワードを指定すると、インストールが失敗してエラーになります。(BUG 812111)
解決策: リモートコレクタマネージャのパスワードに特殊文字を使わないようにします。
問題: リモートコレクタマネージャアプライアンスを再起動すると、UDPポートに接続しているSyslogイベントソースの接続が切断されます。(BUG 795057)
解決策: 現時点で利用可能な解決策はありません。
問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(BUG 804683)
解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。
問題: Sentinel環境でFIPSモードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースの同期が失敗します。(BUG 814452)
解決策: ご使用のSentinel環境でFIPSモードが有効になっている場合は、エージェントマネージャにSQL認証を使用します。
問題: FIPSモードが有効である場合、Sentinel高可用性インストールを実行すると、次のエラーが表示されます。
Sentinelサーバconfiguration.propertiesファイルは正しくありません。環境設定ファイルを確認し、SentinelサーバでFIPSモードを有効にするためにconvert_to_fips.shスクリプトを再度実行してください。
しかし、インストールは正常に完了します。(BUG 817828)
解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定はFIPSモードで正常に動作します。
問題: 非FIPSモードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(BUG 810764)
解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPSモードで正常に動作します。
問題: アップグレードパッケージのベンダがNovellからNetIQに変更されたため、Sentinel 7.2よりも前のバージョンからのアプライアンスのアップデートが失敗します。(BUG 780969)
解決策: アプライアンスのアップグレードにはzypperコマンドを使用してください。詳細については、『NetIQ Sentinelインストールと設定ガイド』の「zypperを使用したアプライアンスのアップグレード」を参照してください。
問題: パスワードに「$」文字を指定すると、Sentinelはパスワード内での「$」の位置に応じて、そのパスワードを異なる形でデータベースに保存します。パスワードが特殊文字「$」で始まっている場合、Sentinelはパスワードをファイル名で保存します。文字「$」がパスワードの中間にある場合、Sentinelは「$」文字以降のパスワードを切り捨てます。(BUG 734500)
解決策: 実際のパスワードは、home/novell/.pgpassファイルに保存されています。このファイルからパスワードを取得し、Sentinelにログインします。たとえば、「abc$123」というパスワードを指定した場合、Sentinelはそのパスワードを「abc」で .pgpassファイルに保存します。「abc」をパスワードに指定して、Sentinelにログインすることができます。
問題: 同じ名前の相関ルールがすでにシステムに存在する場合、ソリューションマネージャで相関ルールがインストールされない。NullPointerExceptionエラーがコンソールのログに記録されます。(BUG 713962)
解決策: すべての相関ルールに固有の名前を付けるようにしてください。
問題: WebコンソールからSentinelリンクアクションを実行すると、Sentinelコントロールセンターから実行したSentinelリンクコネクタのインテグレータテストが失敗しても、Sentinelに成功メッセージが表示されます。(BUG 710305)
解決策: 現時点で解決策はありません。
問題: セキュリティインテリジェンスダッシュボードとアノマリー定義に同じ名前が付いていると、[アノマリーの詳細]ページでダッシュボードリンクが無効になります。(BUG 715986)
解決策: ダッシュボードとアノマリー定義を作成するときは、固有の名前を使用してください。
問題: Sentinel WebコンソールのコンピュータのクロックがSentinelサーバのクロックより遅れていると、Sentinel Webコンソールで[アクティブな検索ジョブ]の[期間]と[アクセス]列に負の数字が表示されます。たとえば、Sentinel Webコンソールのクロックが 1:30 PMに設定され、Sentinelサーバのクロックが 2:30 PMに設定されていると、[期間]と[アクセス]の列に負の数字が表示されます。(BUG 719875)
解決策: Sentinel Webコンソールのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。
問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(BUG 870609)
解決策: 現時点で解決策はありません。
問題: NetIQ Identity Manager Designerがクライアントコンピュータにインストールされており、DesignerがシステムJREを使用する場合、Sentinelコントロールセンターが起動しません。Designerは、xml-apis.jarなどのサポートしているいくつかのjarファイルをlib/endorsedディレクトリに追加する必要があります。xml-apis.jarファイル内のいくつかのクラスによって、Sentinelコントロールセンターが使用するシステムJRE内の対応するクラスが上書きされます。(BUG 888085)
解決策: 独自のJREを使用するようにDesignerを構成します。
問題: イベントデータの収集中、Sentinel Agent ManagerはNULL値のWindows挿入文字列フィールドをキャプチャしません。(BUG 838825)
解決策: 現時点で解決策はありません。
弊社の目標は、お客様のニーズを満たすマニュアルの提供です。改良点に関するご意見は、Documentation-Feedback@netiq.comまで電子メールでお寄せください。貴重なご意見をぜひお寄せください。
詳細な連絡先情報については、サポート連絡先情報Webサイトを参照してください。
一般的な会社情報と製品情報については、NetIQ CorporateのWebサイトを参照してください。
他のユーザやNetIQのエキスパートとやり取りするには、弊社のコミュニティのアクティブなメンバーになってください。NetIQオンラインコミュニティでは、製品情報、有益なリソースへの役立つリンク、ブログ、およびソーシャルメディアチャネルが用意されています。
NetIQ Sentinelは米国特許番号05829001によって保護されています。
本書および本書に記載されているソフトウェアには、使用許諾契約または守秘契約が適用され、これらの条項の下に提供されます。上記ライセンス契約または守秘契約に明示されている場合を除き、NetIQ社は、本書および本書に記載されているソフトウェアを「現状のまま」提供するものとし、明示的、黙示的を問わず、商品性または特定目的への適合性に対する黙示的な保証を含め、いかなる保証も行いません。州によっては、明示的、黙示的を問わず、特定の取引に関する保証の否認が認められていないため、この記述が適用されない場合もあります。
明確にするために、すべてのモジュール、アダプタ、またはそれに類する要素(「モジュール」)は、そのモジュールが関連または相互作用するNetIQ製品またはソフトウェアの当該バージョンのエンドユーザライセンス契約の条項と条件に基づいてライセンスが供与されます。また、モジュールを接続、複製、または使用することで、これらの条項に従うことになります。エンドユーザ使用許諾契約の条項に同意しない場合、モジュールを使用、接続または複製する権利はなく、モジュールのすべての複製を破棄して頂く必要があります。詳細についてはNetIQにお問い合わせください。
本書および本書に記載されているソフトウェアは、法律によって認められた場合を除き、NetIQ社が書面をもって事前に許可しない限り、貸出、販売、譲渡することはできません。上記の使用許諾契約または守秘契約に明示されていない限り、NetIQ社の書面による事前の同意がない場合は、本書および本書に記載されているソフトウェアのいかなる部分も、電子的、物理的、またはその他の方式を問わず、いかなる形式や手段においても再現したり、情報取得システムに保存または転送することは禁じられています。本書に記載されている会社名、個人名、データは引用を目的として使用されており、実際の会社、個人、およびデータを示していないことがあります。
本書は技術的な誤りおよび誤植を含むことがあります。本書の情報は定期的に変更されます。定期的な変更は、本書の新版に組み込まれることがあります。NetIQ社は、本書に記載されているソフトウェアに対して、随時改良または変更を行うことがあります。
米国政府の制限付き権利: ソフトウェアおよび文書が、米国政府または米国政府の元請人または下請人(階層を問わず)によって直接または間接的に取得される場合は、48 C.F.R. 227.7202-4 (for Department of Defense (DOD) acquisitions)および 48 C.F.R. 2.101および 12.212 (for non-DOD acquisitions)に基づき、ソフトウェアまたは文書の使用、修正、再生、リリース、実行、表示、開示などに関する政府の権利は、このライセンス契約に記載されている商用ライセンスの権利および制限に全面的に従うものとします。
© 2015 NetIQ Corporation. All Rights Reserved.
NetIQの商標については、http://www.netiq.com/company/legal/を参照してください。